3. Угрозы конфиденциальной информации

Под угрозами конфиденциальной информации принято понимать потенциальные или реально воз­можные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Такими действиями являются:

1. ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;

2. модификация информации в криминальных целях как частичное или значительное изменение соста­ва и содержания сведений;

3. разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения матери­ального ущерба.

В конечном итоге противоправные действия с ин­формацией приводят к нарушению ее конфиденциаль­ности, полноты, достоверности и доступности (рис. 1.5), что в свою очередь приводит к нарушению как режи­ма управления, так и его качества в условиях ложной или неполной информации.

Каждая угроза влечет за собой определенный ущерб — моральный или материальный, а защита и противодействие угрозе призваны снизить его величину, в идеале — полностью, реально — значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы могут быть классифициро­ваны по следующим кластерам (рис. 1.6):

1. По величине принесенного ущерба:

• предельный, после которого фирма может стать банкротом;

• значительный, но не приводящий к банкротству;

• незначительный, который фирма за какое-то вре­мя может компенсировать.

2. по вероятности возникновения:

• весьма вероятная угроза;

• вероятная угроза;

• маловероятная угроза,

3. по причинам появления:

• стихийные бедствия;

• преднамеренные действия.

4. по характеру нанесенного ущерба:

• материальный;

• моральный;

5. по характеру воздействия:

• активные;

• пассивные.

6. по отношению к объекту:

• внутренние;

• внешние.

Источниками внешних угроз являются:

• недобросовестные конкуренты;

• преступные группировки и формирования;

• отдельные лица и организации административно-управленческого аппарата.

Источниками внутренних угроз могут быть:

• администрация предприятия;

• персонал;

•технические средства обеспечения производствен­ной и трудовой деятельности.

Соотношение внешних и внутренних угроз на ус­редненном уровне можно охарактеризовать так:

• 82% угроз совершается собственными сотрудни­ками фирмы при их прямом или опосредованном участии;

• 17% угроз совершается извне — внешние угрозы;

• 1% угроз совершается случайными лицами.

Угроза — это потенциальные или реальные действия, приводящие к моральному или ма­териальному ущербу.

4. Действия, приводящие к неправомерному овладению конфиденциальной информацией

Отношение объекта (фирма, организация) и субъек­та (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, при­водящих к овладению конфиденциальными сведения­ми. В этом случае возможны такие ситуации:

1. владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить инте­ресующие его сведения;

2. источник информации строго соблюдает меры ин­формационной безопасности, тогда злоумышленни­ку приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов не­санкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;

3. промежуточная ситуация — это утечка информа­ции по техническим каналам, при которой источ­ник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых уси­лий может их использовать в своих интересах.

В общем, факт получения охраняемых сведений зло­умышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части за­конодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разгла­шение сведений и несанкционированный доступ к кон­фиденциальной информации (рис. 1.7).

Разглашение— это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.

Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т. д.). Неформальные коммуникации включают личное общение (встречи, переписка), выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газе­ты, интервью, радио, телевидение). Как правило, при­чиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблю­дения. Тут важно отметить, что субъектом в этом про­цессе выступает источник (владелец) охраняемых сек­ретов.

Следует отметить информационные особенности этого действия. Информация содержательная, осмыс­ленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ори­ентирована в определенной тематической области и документирована. Для получения интересующей зло­умышленника информации последний затрачивает практически минимальные усилия и использует про­стые легальные технические средства (диктофоны, видеомониторинг).

Утечка — это бесконтрольный выход конфиден­циальной информации за пределы организации или круга лиц, которым она была доверена.

Утечка информации осуществляется по различ­ным техническим каналам. Известно, что информа­ция вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого мож­но утверждать, что по физической природе возмож­ны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, ма­териалы и вещества. Соответственно этому класси­фицируются и каналы утечки информации на визу­ально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки ин­формации принято понимать физический путь от источника конфиденциальной информации к зло­умышленнику, посредством которого последний мо­жет получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне зло­умышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ — это противо­правное преднамеренное овладение конфиденциаль­ной информацией лицом, не имеющим права доступа к охраняемым секретам.

Несанкционированный доступ к источникам кон­фиденциальной информации реализуется различны­ми способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проник­новения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто про­никать на объект или создавать вблизи него специаль­ные посты контроля и наблюдения — стационарных или в подвижном варианте, оборудованных самыми со­временными техническими средствами.

Если исходить из комплексного подхода к обеспе­чению информационной безопасности, то такое деле­ние ориентирует на защиту информации как от раз­глашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников.

Такой подход к классификации действий, способ­ствующих неправомерному овладению конфиденци­альной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, не­обходимых для обеспечения комплексной информаци­онной безопасности.

В литера­туре указываются следующие условия, способствующие неправомерному ов­ладению конфиденциальной информацией:

• разглашение (излишняя болтливость сотрудни­ков) — 32%;

• несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурен­тов и преступных группировок — 24%;

•отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности — 14%;

• традиционный обмен производственным опы­том — 12%;

• бесконтрольное использование информационных систем — 10%;

• наличие предпосылок возникновения среди со­трудников конфликтных ситуаций — 8%;

а также отсутствие высокой трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа службы кадров по сплочению коллектива.

Среди форм и методов недобросовестной конку­ренции находят наибольшее распространение:

• экономическое подавление, выражающееся в сры­ве сделок и иных соглашений (48%), парализация деятельности фирмы (31%), компрометации фир­мы (11%), шантаж руководителей фирмы (10%);

• физическое подавление: ограбления и разбойные нападения на офисы, склады, грузы (73%), угрозы физической расправы над руководителями фир­мы и ведущими специалистами (22%), убийства и захват заложников (5%);

• информационное воздействие: подкуп сотрудни­ков (43%), копирование информации (24%), про­никновение в базы данных (18%), продажа кон­фиденциальных документов (10%), подслушивание телефонных переговоров и переговоров в помещениях (5%), а также ограничение доступа к ин­формации, дезинформация;

• финансовое подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение финансов, мошенничество;

• психическое давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энерго­информационного воздействия.

Основными угрозами информации являются ее разглашение, утечка и несанкционирован­ный доступ к ее источникам.

Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия. Совокупность определений, каналов, способов и средств представ­ляется в виде следующей схемы (рис. 1.8).

Выводы

1. Информация — это ресурс. Потеря конфиденци­альной информации приносит моральный или материальный ущерб.

2. Условия, способствующие неправомерному овла­дению конфиденциальной информацией, сводят­ся к ее разглашению, утечке и несанкционирован­ному доступу к ее источникам.

3. В современных условиях безопасность информа­ционных ресурсов может быть обеспечена только комплексной системой защиты информации.

4. Комплексная система защиты информации долж­на быть: непрерывной, плановой, целенаправлен­ной, конкретной, активной, надежной.

5. Система защиты информации должна опираться на систему видов собственного обеспечения, спо­собного реализовать ее функционирование не только в повседневных условиях, но и в критичес­ких ситуациях.

Лекция 2. Направления обеспечения информационной безопасности